セキュリティテスト手法「ファジング」による脆弱性低減を!セキュリティテスト手法「ファジング」による脆弱性低減を! ~外部からの脅威に対し、製品出荷前に対策強化するために~
買収案件のセキュリティテストを 円滑に進める手段
-
Upload
masaki-kasuya -
Category
Engineering
-
view
1.030 -
download
0
Transcript of 買収案件のセキュリティテストを 円滑に進める手段
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
背景• 楽天はインターネットサービス企業
– ウェブアプリケーションを軸にビジネスを展開する• 買収は楽天のビジネスを成長させる
– インターネットサービス関連企業が買収の対象– ウェブアプリケーションに価値を見出す
• 買収による楽天のメリット– 既存サービスの強化– 新規領域への早期参入– グループシナジーによる楽天経済圏の成長
買収案件の成功のために• ウェブアプリケーションの評価が重要となる– 経営層 / 事業の視点
• 買収先のアプリケーションが収益に貢献できるのか– エンジニアの視点
• システム統合に悪影響がないか• セキュリティは担保されているか
買収案件とウェブアプリのセキュリティ• 買収する側とされる側のウェブアプリケーションのセキュリティレベルは異なる
• セキュリティテストによりリスクを評価をする
楽天セキュリティエンジニアの雇用ありセキュリティテストによる脆弱性の管理買収先セキュリティエンジニアの雇用なしセキュリティテストの経験なし
アウトライン• サービス企業の買収案件におけるセキュリティの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
仕事量
• 買収先の仕事量は膨大– セキュリティ " だけ " に注力することはできない
• 全体最適のためにコンパクトに動く必要がある
セキュリティチーム 開発チーム人事評価チーム 法務チーム事業評価チーム
事業規模・業績を評価したい 優秀な人材の有無を評価したい 各評価を踏まえ契約書を作成したい開発体制を評価したいセキュリティレベルを評価したい
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
テスト対象の把握
• 時間制約により、優先順位をつけることが必要となる• テスト対象は買収後のビジネスプランに依存する• 開発者は買収先のウェブアプリケーションの挙動を把握していることがある
セキュリティチーム 開発チーム事業評価チーム
ディスカッションで分かったこと
セキュリティチーム 開発チーム事業評価チーム
B は先方の主力製品です
A はお客様の個人情報を含みますC は買収後にフルリライトする予定です
E と F は close する予定です
決定事項• ディスカッションにより下記の優先順位に決定
1. A ( お客様の個人情報を含むため )2. B ( 買収先の収益に関係するため )3. C ( フルリライトにより優先順位の低下 )4. D5. E6. F
• 2 つのアプリケーションがテスト対象から削除
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
ミーティング事前準備• テスト開始までの準備期間が少ない– スピード優先
• アサインされた同週にミーティングをする• その翌週には作業を開始する
• セキュリティテストの経験が無いことが多数– 短時間で準備を完了できるようにサポートする
失敗例セキュリティテストの目的は ... セキュリティテストの実施方法は ...
サーバやミドルウェアのスペックを ...
Landing Page の URL を ...
アプリケーションの全体の構成は ...
ネットワーク構成は ...
セキュリティテスト実施の同意書の提出を ...
契約締結までに脆弱性を潰して ...
アプリケーションが提供する機能は ...
テスト環境はリモートからアクセス可能か ?
ご担当者の連絡先は ...
セキュリティチーム
失敗例セキュリティテストの目的は ... セキュリティテストの実施方法は ...
サーバやミドルウェアのスペックを ...
Landing Page の URL を ...
アプリケーションの全体の構成は ...
ネットワーク構成は ...
セキュリティテスト実施の同意書の提出を ...
契約締結までに脆弱性を潰して ...
アプリケーションが提供する機能は ...
テスト環境はリモートからアクセス可能か ?
ご担当者の連絡先は ...
セキュリティチーム
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ
意思決定への関与• 脆弱性修正前に契約締結をする話が稀に出る– 事業部の戦略の都合– 経営層の戦略の都合
• リスクを把握させた上で決断させる– リスクを受容する場合
• フォローアッププランも用意する
話が伝わらない例
2. XSS が多数 存在しております
1. HTTPS を 利用していないです
脆弱なアプリケーションです
???
セキュリティチーム 事業評価チーム
• 事業の方たちの話題を含めていない
工夫例
セキュリティチーム 事業評価チーム
1. パスワード情報が丸裸のため、お客様のログイン情報が 盗まれ、 KPI を正しく測れない可能性があります
2. 悪意あるサイトに誘導できる脆弱性が多数存在します ブランドイメージが傷つき、 ROI が減少する可能性が あります
契約締結日設定の参考とします
• 事業側の文脈を含めて伝える
実例• 半月〜1ヶ月ほど契約締結が早まる可能性があった• 下記の問題が修正しきれない可能性があった
– HTTPS の未使用– サポートが切れたソフトウェアの利用
• 最終的に契約の締結は早まらなかった– 脆弱性を修正した上で買収を実施した
アウトライン• サービス企業の買収案件におけるセキュリティテストの重要性• 買収案件の全体像• 円滑に進めるためのチェックポイント
– テスト対象の把握– ミーティングの事前準備– 意思決定への関与
• まとめ